snmp是啥及snmpd.conf基础实用配置解析
1、snmp是什么
前两天项目要求一个附加功能,远程监视服务器的运行状况,要定期监视指定端口,指定业务,还包括服务器的磁盘空间,内存,CPU使用率等等。这头俩事还好说,ping和telnet也就搞定了,实在不行就开个socket连一下,关键后边的事有点抓瞎,要是在本地,可以通过API得到系统信息,分析磁盘空间,内存啥的,可是远程得到别的机子的信息,那不成木马了么。到网上一查,原来有SNMP可以帮着做这件事情。于是就了解了一下,发现这个东西挺有意思。简单地做个笔记。
SNMP简单网络管理协议,是一个用来进行网络管理的协议,之所以称其简单,是因为它是另一个网管协议的简化版。并不是说简化版就不顶用。相反,那个不简化的网管协议号称因为太复杂,几乎不可能实现并推广。不过说实在的,SNMP我都没觉得它多简单,它至今经过十多年的演进,广泛用于各种网络设备及工业控制中,我个人感觉,随着网络进一步发展,电器都会有IP地址的时候,SNMP或它的替代品的作用,应该是会更加重要的。
SNMP简单说,包括了被管的设备,代理和网管系统三个部分。被管的设备指的就是我们要获取信息的设备,这个任务里我需要获取它的磁盘空间。但是被管理设备只是产生这些数据,真正将数据报告回来的工作是由代理完成的。代理说白了就是一个运行在被管设备上的程序。网络编程的角度讲它就是一个小的socket服务程序,监听着好像是161端口。通过在被管设备上,需要启动snmp服务。比如在linux上,就需要执行service snmpd start来启动snmp服务,也就是把代理跑起来。实际过程中,代理包含在各种网络设备上,包括交换机,路由器甚至打印机,手机,调制解调器上。网管系统就是我们要从被管设备获取数据并进行分析处理的这个程序。可以想像它运行在本地。只要我将一个合格的请求发往正在运行的代理处,代理从请求中,理解请求的内容,并从被管设备上用它自己的方式搜集到所需的信息,并发送回来,这样一个网管的简单过程就完成了。
这样的管理方式,还是很灵活的,只要请求包符合协议标准,用哪种语言开发网管系统无所谓;从代理角度讲,只要能正常监听并处理请求,代理可以任意实现。我不太清楚国际上有没有一个统一的标准,比如让我写代理,有请求要查询网络端口的数量,我非把显示器尺寸返回去,不知道警察抓不抓我,至少客户会要求退货吧。也正是因为这种灵活,SNMP也可以支持大规模的集中管理,我同样一个查询存储空间的请求,可以发给我的PC,也可以发给我的诺基亚手机,可能得到的会是存储卡的容量吧,就看代理怎么实现了。
至于如何表达我的请求,这里有一个统一的标准,就是MIB,管理信息库的缩写,就好像一个注册表一样,但是这个注册表不实际存值,不像Windows的注册表。它只是给每一种设备信息编了一个号,称为OID。这个号是以树的形式组织的,中间用点隔开,便于管理。约定好了查的时候直接报告这个号就知道查什么值了。这个号是大家统一的,好比如每个人都有眼睛,眼睛的好坏我们可以用视力来衡量,我们就可以这样定:“人(1).身体(2).五官(3).眼睛(4).视力(5)”。那如果我向一个人发请求,问他的视力,那可以冲他说:那谁谁谁,我是那谁家的谁谁谁,告诉我.1.2.3.4.5.0 这里的"1.2.3.4.5"是对象标识符,后面再加上.0就是实例标识符。
snmp为了简单,规定的操作类型较少,基本常用的有获取(Get),设置(Set),获取下一个(GetNext),还有一个由代理主动发出的(Trap)用于报告事件。另外snmp已经发展到V3了,这个过程中又新增了什么GetBulk等等。我还没有用到,不敢乱说。回头试试再作笔记。
在linux下,配置SNMP服务要修改/etc/snmp/snmpd.conf,也可以通过snmpconf命令配,挺方便的。
在windows下,直接在控制面板,添加删除程序里,添加Windows组件,然后选网络管理,就装上snmp服务了。在服务列表里找到它,可以通过属性进行配置。
参考:https://www.cnblogs.com/lidabo/p/7554551.html
2、snmd.conf配置解析
当下的 SNMP 服务器通常用来被诸如 Nagios、Cacti、Zabbix 等监控软件收集数据,SNMP 的很多高级特性用的不是特别频繁。因而只需对 SNMP 进行一些简单、基础的配置以满足各种监控软件的需求。
通常 SNMP 服务的配置文件位于/etc/snmp/snmpd.conf,先来看一下这个文件:
####
# First, map the community name “public” into a “security name”
# sec.name source community
com2sec notConfigUser default public #定义community名称为 public,映射到安全名 notConfigUser。
####
# Second, map the security name into a group name:
# groupName securityModel securityName
group notConfigGroup v1 notConfigUser #定义安全用户名notConfigUser映射到notConfigGroup组。
group notConfigGroup v2c notConfigUser
####
# Third, create a view for us to let the group have rights to: #定义一个view,来决定notConfigUser可以操作的范围。
# make at least snmpwalk -v 1 localhost -c public system fast again. #定义可查看的snmp的范围。
# name incl/excl subtree mask(optional)
view systemview included .1.3.6.1.2.1.1
view systemview included .1.3.6.1.2.1.25.1.1
view all included .1
####
# Finally, grant the group read-only access to the systemview view. #给notConfigGroup组所定义view名 all 以只读权限。
# group context sec.model sec.level prefix read write notif
access notConfigGroup “” any noauth exact all none none
#access notConfigGroup “” any noauth exact mib2 none none
# —————————————————————————–
# Here is a commented out example configuration that allows less
# restrictive access.
# YOU SHOULD CHANGE THE “COMMUNITY” TOKEN BELOW TO A NEW KEYWORD ONLY
# KNOWN AT YOUR SITE. YOU *MUST* CHANGE THE NETWORK TOKEN BELOW TO
# SOMETHING REFLECTING YOUR LOCAL NETWORK ADDRESS SPACE.
## sec.name source community
#com2sec local localhost COMMUNITY
#com2sec mynetwork NETWORK/24 COMMUNITY
## group.name sec.model sec.name
#group MyRWGroup any local
#group MyROGroup any mynetwork
#
#group MyRWGroup any otherv3user
#…
## incl/excl subtree mask
#view all included .1 80
## -or just the mib2 tree-
#view mib2 included .iso.org.dod.internet.mgmt.mib-2 fc
#view mib2 included .iso.org.dod.internet.mgmt.mib-2 fc
## context sec.model sec.level prefix read write notif
#access MyROGroup “” any noauth 0 all none none
#access MyRWGroup “” any noauth 0 all all all有以上这些配置其实已经能够基本满足大多数需求了,还算是比较简单的,配置 SNMP 可以参考以下步骤:1. 首先定义一个共同体名称(community),这里是 public ,及可以访问这个 public 的用户名(sec name),这里是 notConfigUser 。public 相当于用户 notConfigUser 的密码。
# sec.name source community
com2sec notConfigUser default public2. 定义一个组名(groupName)这里是 notConfigGroup,及组的安全级别,把 notConfigGroup 这个用户加到这个组中。
# groupName securityModel securityName
group notConfigGroup v1 notConfigUser
group notConfigGroup v2c notConfigUser3. 定义一个可操作的视图(view)名, 这里是 all,范围是 .1。
# name incl/excl subtree mask(optional)
view all included .14. 定义 notConfigUser 这个组在 all 这个视图范围内可做的操作,这时定义了 notConfigUser 组的成员可对 .1 这个视图做只读操作。
# group context sec.model sec.level prefix read write notif
access notConfigGroup "" any noauth exact all none none这样对 snmpd.conf 文件就基本完成了,用service snmpd restart重启 snmpd 服务。
之后,我们需要一个测试,验证 SNMP 配置的正确性。在监控主机中执行以下命令:
[root@chenyi Packages]# snmpwalk -v 1 192.168.1.220 -c public system
Timeout: No Response from 192.168.1.220
[root@chenyi Packages]# snmpwalk -v 1 192.168.1.220 -c public system
SNMPv2-MIB::sysDescr.0 = STRING: Linux chenyi 2.6.32-279.el6.i686 #1 SMP Fri Jun 22 10:59:55 UTC 2012 i686
SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (797) 0:00:07.97
SNMPv2-MIB::sysContact.0 = STRING: Root (configure /etc/snmp/snmp.local.conf)
SNMPv2-MIB::sysName.0 = STRING: chenyi
..................... 上述信息说明 SNMP 已经正常工作了。
现在我们在目标主机上来写一些脚本来获取 Memory、CPU、DiskIO 等状态。
Memory 脚本:
#!/bin/sh
/usr/bin/free -m | grep Mem |awk '{print $4}'
/usr/bin/free -m | grep Mem |awk '{print $2}'[root@chenyi ~]# sh memory.sh
809
1006CPU 脚本:
#!/bin/sh
idle=`sar -u 1 3 | grep Average | awk '{print $6}'`
used=`echo "101 - $idle" | bc -l -s`
echo $used
echo $idleDisk I/O 脚本:
#!/bin/sh
used1=`sar -d 1 3 | tail -1 | awk '{print $4}'`
used2=`echo "$used1 / 2" | bc -l`
echo $used2
echo $used2现在我们已经能得到这数据了,怎么才能让监控主机通过 snmpd 得到这些数据呢?可以在目标主机的/etc/snmp/snmpd.conf文件中加入这些配置:
exec .1.3.6.1.4.1.2021.53 memory /bin/sh /root/memory.sh
exec .1.3.6.1.4.1.2021.54 cpu /bin/sh /root/cpu.sh
exec .1.3.6.1.4.1.2021.55 disk /bin/sh /root/disk.sh[root@chenyi ~]# service snmpd restart
停止 snmpd: [确定]
正在启动 snmpd: [确定]这样在监控主机上运行:
[root@chenyi ~]# snmpwalk -v 1 192.168.1.220 -c public .1.3.6.1.4.1.2021.53UCD-SNMP-MIB::ucdavis.53.1.1 = INTEGER: 1
UCD-SNMP-MIB::ucdavis.53.2.1 = STRING: "memory"
UCD-SNMP-MIB::ucdavis.53.3.1 = STRING: "/bin/sh /root/memory.sh"
UCD-SNMP-MIB::ucdavis.53.100.1 = INTEGER: 0
UCD-SNMP-MIB::ucdavis.53.101.1 = STRING: "442"
UCD-SNMP-MIB::ucdavis.53.101.2 = STRING: "1006"
UCD-SNMP-MIB::ucdavis.53.102.1 = INTEGER: 0其中UCD-SNMP-MIB::ucdavis.53.101.1 = STRING: "442"中的 442 就是 mem.sh 输出的第一个数据,1006 是 mem.sh 输出的第二个数据。
略作修改:(此处参照其他文章)
[root@chenyi ~]# snmpwalk -v 1 192.168.1.220 -c public .1.3.6.1.4.1.2021.53 | grep 53.101 | awk -F\" '{print $2}'
443
1006我们已经通过 snmpd 从监控主机上得到了目标主机上内存使用状态的两个参数,其它脚本也是一样的。
参考:https://www.linuxde.net/2013/02/12269.html
3、另外配置
1 默认 SNMP 代理配置对 “public” 团体只给予从本地主机访问整个 MIB 树的只读访问权限。
注:出于安全性原因,建议在可能的情况下,将 SNMP 访问限制在特定的远程主机。
请编辑 SNMP 代理配置文件snmpd.conf :
rocommunity public 127.0.0.1
编辑或复制该行,以使用远程主机 IP 地址来替换 127.0.0.1。 编辑后,新行应为:
rocommunity public IP_address
注:通过从每个远程主机添加 rocommunity 指令,可从多个特定的远程主机启用 SNMP 访问。
2 要启用从所有远程主机对运行 Server Administrator 的系统的 SNMP 访问,请编辑 SNMP 代理配置文件 snmpd.conf:
通过删除 127.0.0.1 来编辑此行。 编辑后,新行应为:
rocommunity public
3 更改 SNMP 团体名称
配置 SNMP 团体名称可确定哪些 Management Station 能够通过 SNMP 管理您的系统。 管理应用程序使用的 SNMP 团体名称必须与在 Server Administrator 系统上配置的 SNMP 团体名称匹配,以便管理应用程序可以从 Server Administrator 检索管理信息。
要更改用于从运行 Server Administrator 的系统检索管理信息的默认 SNMP 团体名称,请编辑 SNMP 代理配置文件 snmpd.conf :
rocommunity public 127.0.0.1
编辑此行,用新 SNMP 团体名称替换 public。 编辑后,新行应为:
rocommunity community_name 127.0.0.1
4 SNMP Set 操作启用。
要在运行 系统中启用 SNMP 设置操作,请编辑 SNMP 代理配置文件snmpd.conf :
增加配置
rwcommunity private default
rwcommunity6 private default
参考:https://blog.csdn.net/u011857683/article/details/79931197